hacking

Update:: Syncany: Ein offenes eigenes Dropbox herstellen

von

Bitte die Updates im unteren Bereich beachten.

Ich habe mir Heute mal Syncany angeschaut. Ich muss sagen, dass mich die Idee fasziniert, vor allem der Faktor die Daten weiterhin in der eigenen Hand zu halten und Support für:

Local Folder: uses any local folder as storage. This could be any mounted device, network file systems (NFS), or any virtual file system based on FUSE.
FTP: uses an FTP folder as remote repository.
IMAP: uses an IMAP folder as remote storage. Stores file chunks as e-mail attachments.
Google Storage: uses a bucket in the Google Storage service as repository.
Amazon S3: uses a bucket in the Amazon Simple Storage Service as remote storage.
Rackspace Cloud Files: uses a Cloud Files container as remote storage.
WebDAV: uses one folder in a WebDAV as remote storage.
Picasa: encodes the file chunks in images, and uses a Picasa album as repository.
Windows Share (NetBIOS/CIFS): uses a Windows share as data repository.
more to come …

zu haben.
Leider scheiterte bei mir das Testen der Anwendung an der nicht vorhandenen libappframework-java in Debian Squeeze. Ich hätte es mir gerne mal ohne den Nautilus-Support angeschaut. Gut, Java ist für mich normalerweise ein absolutes Abschreckmittel, aber in dem Punkt wollte ich einfach mal sehen, welche Art von Anwendung mich dort erwartet.
Dies brachte mich in einem Punkt zum Überlegen, wie ich doch mein eigenes Dropbox mit meinem Webspace oder mit einem anderen Speicherplatz über das Netzwerk schaffen kann. Mir ist klar, dass ich die mannigfaltige Unterstütung für mich mit Linuxboardmitteln nicht bringen kann. Aber von der Logik her ist die ganze Situation im Grunde nicht so schwer zu meistern und FreeBSD sollte in dem Sinne auch damit laufen können.
Somit ergebe ich mich einer kurzen Hirnflatulenz in meinem Blog, um eine spätere Notiz für mich, oder auch andere zu haben, da ich jenes gerne mal prokastiniere bis ich mal so Zeit habe…

– Überwachen der Files kann mit inotify geschehen.
– Einbinden des Remoteverzeichnisses per fuse als verstecktes Verzeichnis.
– Anschubsen von rsync bei entfernter Veränderung und Meldung per notify
– Automatisches Verschlüsseln der Daten im privaten Ordner mit encfs, für die geteilten Daten per GPG-Schlüssel, welcher verteilt wird.
– Geschwindigkeit des Hochladens/Herunterladens der Dateien per trickle begrenzen.
– ShortURLs könnte mit yourls lösen.

So zur weiteren Verwendung ausgebläht ツ

[UPDATE]
Ich bitte doch einmal in die Kommentare zu schauen, da sich Philipp Heckel der Entwickler von Syncany gemeldet hat und sich auf die Abhängigkeiten der Software bei verschiedenen Betriebssystemen bezieht. Ich finde die Aussage sehr Gut und hoffe es sind ein paar Leser des Blogs vorhanden, welche sich mit Ant-Scripten und Java auskennen und ein wenig Unterstützung bieten. Heutzutage finde ich es bald nicht mehr normal, dass sich ein Entwickler nicht nur um Ubuntu/RedHat/OpenSuSE, oder die neuesten Bibliotheken kümmert, sondern versucht ein Spektrum so weit abzudecken, dass jede Distribution, bzw. Windows und OSX diese Anwendung nutzen können.

[UPDATE 2012]
Des weiteren funktioniert die Software unter Debian Wheezy mittlerweile perfekt und kann ohne weiteres Empfohlen werden

Debian Squeeze: Anmeldung mit Gesichtserkennung

von

Nachdem wir einen entfernten SSH-Login sicher gemacht haben, sollte ja auch der lokale Login an einem Netbook, welches man überall mitnimmt auch vorhanden sein.
Da ich encfs nutze, sind meine Laufwerke verschlüsselt. Sie werden nach einer weiteren Passwortabfrage nach Login entschlüsselt. Also Loginpass !=Encfspass. Warum propagandieren eigentlich so viele Truecrypt wenn der Kernel schon Alles an Board hat?
Somit habe ich mich einmal durch das Internet gesucht und ein Modul für PAM gefunden, welches Gesichtserkennung unterstütz und es ist auch ansprechbar für reine Shellnutzer.
Also habe ich mir die Sourcen von der Downloadseite pam-face-authentication-0.3.tar.gz des Projektes pam-face-authentication heruntergeladen.
Nach dem entpacken des Verzeichnisses der Wahl wurden erst einmal die Abhängigkeiten installiert:

root@sayuri:/home/seraphyn# aptitude install libpam0g-dev cmake python-opencv libx11-6 libx11-dev libqt4-dev libqt4-core libcv-dev libcv2.1 libcvaux-dev libcvaux2.1 libhighgui-dev libhighgui2.1 -y

Und dann ging es an das kompilieren:

root@sayuri:/home/seraphyn/tmp/googlepam/pam-face-authentication-0.3# mkcd build
 root@sayuri:/home/seraphyn/tmp/googlepam/pam-face-authentication-0.3# cmake -D CMAKE_INSTALL_PREFIX=/usr ..
 root@sayuri:/home/seraphyn/tmp/googlepam/pam-face-authentication-0.3# make && make install

Wer möchte, kann natürlich anstelle des make && make install sich auch ein Debianpaket bauen

Als nächstes sollte der Gesichtstrainer benutzt werden, dies geschieht als User mit qt-facetrainer.
Gute Beleuchtung sollte schon sein und man sollte so viele Mitschneiden wie möglich. Es werden in dem Fall verschiedene Sets angelegt. Unter Advanced lässt sich noch die höhe der Sicherheit einstellen. Mehr Auskunft über das Verfahren gibt die Seite LIFEASIKNOW-IT mit dem Artikel PAM Face Authentication Musings: Face Verification using cascaded MACE and LBP based Classifier in welchem auch PDFs zu dem Thema verlinkt sind.

Nachdem diese Hürde geschafft ist bearbeitet man die Datei /etc/pam.d/login und fügt ein auth required pam_face_authentication.so hinzu.
Als Test sollte man erst einemal sufficient nehmen anstelle von required ;)
Wenn Alles wie gewünscht funktioniert braucht man die Fallback-Lösung nicht mehr und kann es mit required scharf stellen.
Wer das ganze noch für ein substitude user (su) haben möchte muss die Datei /etc/pam.d/su im gleichen Stil bearbeiten. Auch hier gilt erst sufficient, dann required. Nicht vergessen als root auch ein qt-facetrainer zu machen, sonst hat die UID keine Sets anhand man das Gesicht erkennen kann.
Wem das ganze mit einem netten „Login timed out after 60 seconds“ quittiert wird, sollte sich mal das File /etc/login.defs anschauen und zwar den Punkt LOGIN_TIMEOUT
Das Ganze geht auch noch für Loginmanager, aber da ich keinen benutze habe ich es hier nicht abgedeckt.

Das Ganze hat aber keinen Sinn, wenn Euer / nicht verschlüsselt ist, denn dann kann man per Grub, Live-Image das ganze aus PAM rausschmeissen.
Meine Empfehlungen für ein Netbook/Laptop im absoluten Paranoiamode sind deshalb:
– Biospasswort
– Grubpassword
– Festplatte/Ordner per encfs/luks verschlüsseln
– OTP setzen für die Loginshell
– Gesichtserkennung für die Loginshell
– USB-Stick/Smartcard mit Zertifikat
– Wenn Dropbox dann gpg
– Der Rest ergibt sich von selbst wie Emailverschlüsselung etc.
Klar ist das vielleicht überspitzt, aber es ist machbar und sind nette Hürden.

Viel Spaß mit der erweiterten Sicherheit

Witziges Privacy-Hacking mit Youtube

von

Das ist etwas, was mir so richtig Gut gefällt.
Man nehme sich ein youtube-Video zur Hand und rippt dort die Töne des Tonwahlverfahrens heraus und hat schon die Telefonnummer. Vielleicht ist das ganze dann auch für diese netten Callspammer interessant, welche einen gerne aus der Dusche/etc herausklingeln um dann ganz faszinierende Fragen zu stellen, oder einen mit Werbung zuspammen.
Auch könnte man das Pythonscript für noch andere Dinge nutzen, mir fallen da einige ein…
Weiter geht es auf Hack a Day Modern freaking: pull phone numbers from YouTube audio

Debian Squeeze: Redseliges SSH

von

Was mir bei vielen Paketen einfach nicht gefällt ist ein Faktor:

seraphyn@sayuri:~$ nmap -sV 192.168.1.1

Starting Nmap 5.00 ( http://nmap.org ) at 2011-02-07 09:58 CET
 Interesting ports on 192.168.1.1:
 Not shown: 996 filtered ports
 PORT STATE SERVICE VERSION
 22/tcp open ssh OpenSSH 5.5p1 Debian 6 (protocol 2.0)

Wer dies absolut nicht verknusen kann, welches ich verstehe, sollte sich mal die Datei /debian/patches/debian-banner.patch aus den openssh-server-Sourcen anschauen und das Paket recompilieren.
Das ganze basiert auf den Bugreport #562048, welches schon etwas weniger über das darunterliegende Linux aussagt.
Natürlich ist es auch möglich absolut die Version von dem openssh-Server zu verstecken, aber einen sinn hat dies nicht, siehe dazu auch:
RFC: The SSH (Secure Shell) Remote Login Protocol

und

OpenSSH-FAQ: 2.14 Why does OpenSSH report its version to clients?
This information is used by clients and servers to enable protocol compatibility tweaks to work around changed, buggy or missing features in the implementation they are talking to. This protocol feature checking is still required at present because the SSH protocol has not been yet published as a RFC and more incompatible changes may be made before this happens.

IMHO ist der Rest Security Through Obscurity und hat keinen Sinn.
Lieber den Server richtig sicher machen, dazu gibt es genug Anleitungen im Netz….

Externen Editor (gvim) in Opera nutzen

von

Lange habe ich gesucht und mir Gedanken darüber gemacht wie ich es schaffe in Opera einen externen Editor, wie z.B. gvim, zu nutzen. Sprich für die netten Textareas in meinem Blog und für andere Aufgaben, ich mag keine WYSIWYG-Editoren…
Durch Zufall bin ich auf ein Script gestoßen, welches nicht in dem Sinne für Opera gedacht ist, aber sich durch den WM ansprechen lässt.
Installiert werden muss extra dafür: wmctrl xsel xautomation
Dann wird das Script heruntergeladen: External-Editor und in dem Tastaturkürzeln angegeben, mit welchen Shortcuts man den externen Editor starten möchte.
Bei mir in /home/seraphyn/.ion3/cfg_ioncore.lua:

 bdoc("Run external Editor."),
 kpress(ALTMETA.. "u", "ioncore.exec_on(_, 'externaledit')"),

Auch habe ich das Script zu Operas Gunsten abgeändert, es ist in den Files zu finden.
Das Script wurde von Ben Collerson unter GPL-Lizenz 2004 geschrieben. Gut Idee muss ich zugeben, auf die bin ich nicht gekommen, das ganze von der Anwendung zu abstrahieren.
Ich denke nun ist schon einmal eine Brücke mehr weg, welche mich gestört hat. Opera und gvim/vim
Aber einen richtigen vimperator-Clone gibt es immer noch nicht für Opera.

Weird: Lach mal über Seraphyn

von

So Sonne getankt, mir dem Hund raus, ein Bier, wirklich nur eines, im Garten getrunken, hochgekommen und mit sqall im IRC geplaudert über Virtuell Machines und Microsoft W2k8R2.
Ich möchte mir nach dem Gespräch eine Auszeit geben und gehe auf Heise.
Was sehe ich da, John Bongiovi ?!?!?!?!

Guru Meyes Heise.de
Guru Meyers

WTH ich meine… Mist es war doch Scott Meyers, aber schaut mal selber, vergleicht die Fotos:

bongiovie vs Meyers
Bongiovie und Meyers

Ich sage da lieber nun nix zu LOL Einfach nur weird in dem Moment…

Links 161009

von

Deep Packet Inspection Engine Goes Open Source
Deep packet inspection (DPI) hardware can identify an astonishing array of protocols passing across the Internet—up to and including protocols that are rare even to us in the Orbiting HQ (Gadu-Gadu? Manolito? Feidian?). But if you’ve ever wondered just how this can be done, and done at wire speed, wonder no more: Europe’s leading DPI vendor has open-sourced a version of its traffic detection engine.

60 unreal space wallpapers from Hubble space telescope
The Hubble Space Telescope was carried into orbit by the space shuttle in April 1990. The Hubble space telescope has been sending back images of deep space for eighteen years. The images are undeniably priceless to scientists, who investigate the Hubble Telescope images to learn more about the universe. But Hubble images aren’t just useful for scientists. Many people are fascinated by the beautiful things that the telescope captures, giving everybody a glance at sections of space they can barely even imagine.

Smokin‘ Guns: Western FPS Game For Windows And Linux
Smokin‘ Guns is a free, open source first person shooter game for Windows and Linux that takes you back to the times of sheriffs and bank robbers in the legendary Wild West. It features all the typical ingredients of the FPS genre: support for multiplayer games (either hosted by you or using another Internet server), a complete arsenal of different weapons, a dozen different maps and several gaming modes: round team play, ban robbery, duel and death match.

A group of 44 companies says net neutrality rules would hurt the Internet
As the U.S. Federal Communications Commission moves toward developing formal net neutrality rules, some U.S. lawmakers and telecom-related companies have told the agency that new regulations will cause more problems than they’re worth. FCC Chairman Julius Genachowski announced last month that he would seek to develop formal rules prohibiting Internet service providers from selectively blocking or slowing Web content and applications. On Oct. 22, the commission is scheduled to vote on a notice of proposed rulemaking for net neutrality rules, the first step toward developing those regulations. But 44 companies sent a letter, dated Wednesday, to the FCC saying new regulations could hinder the development of the Internet.

Train an army of crows to gather treasure for you
Josh Klein developed a machine that trains crows to trade coins for peanuts. Literally, for peanuts. So you fill this thing with peanuts and set it out, say, in a public park, and the crows will scour the ground for loose change, carry it to the machine, and drop it in a slot in exchange for food.
WTF?!?!?!?

Use a Linux LiveCD to Avoid Windows Malware For Netbanking
The cyber crooks are targeting innocent MS-Windows user. If you are concerned about how best to protect yourself from this type of fraud, use Linux LiveCD for online banking and avoid Microsoft Windows at all cost.

FreeBSD portiert Apples Grand Central Dispatch
Was liegt näher, wenn Mac OS X relativ nahe zu xBSD steht, dass offene Teile von Mac OS X zu BSD wandern. FreeBSD hat nun Apples Multithread-Bibliothek portiert und stellt Grand Central Dispatch nun auch unter FreeBSD zur Verfügung.

Unix Sed Tutorial: How To Execute Multiple Sed Commands
Wie der Name schon sagt;) sed gehört zu dem Muss-Mann/Frau-Wissen bei Unix/Linux

Automated Backups Using dhcpd On Ubuntu
This tutorial shows how to set up automated backups of Linux hosts through dhcp using Ubuntu.
I will use following software: dhcp3,custom scripts
Das nur mal nebenbei: Es gibt für alle Unices/Linuces und ist ein netter Start in ein automatisiertes System. Z.b. kann man damit seine NFS-mounts nur auf seine Heimat begrenzen, einen netten Sync zwischen dem Laptop und seiner Workstation anschubsen und …

Alle Links öffnen sich bei diesem Post in einem _blank.

Links 110809

von

3 Books Giveaway – Learning Nagios 3.0, Hacking Vim and Mastering OpenLDAP
Manchmal freut man sich über Werbegschenke (Giveaway) über alles. Ich gehe mal davon aus, dass die meisten auch diese Giveaways strahlend in Ihren XPDF begrüssen, wie ich auch.

Password Advice by Bruce Schneier
Es ist ein elendiges Thema, aber es muss sein. Auch ich habe es oft genug angesprochen, Tipps, Anleitungen geschrieben. Aber was letzendlich übrigbleibt sind Dinge wie „$NEFFE$GEBURTSJAHR„; „$KATZENNAME1234„, oder sonst irgendwelche lustigen Gebilde, welche nicht wirklich einen netten Passwortcracker mit BruteForce/Wörterbuchattacke und Social Engineering stoppt. WrssdNuW ist ein nettes Bsp, welches ich immer gene nenne. Nur wie merkt man sich es? Wer reitet so spät durch Nacht und Wind. Setzt man nun noch ein ? an das Ende ( Sonderzeichen) inkl. den Geburtstag der liebsten an jede zweite Stelle, dann erhält man etwas sehr nettes und man kann es sich gut merken.

Productive Magazine issue #3 with Michael Bungay Stanier
Prokastinierung. Meiner Meinung nach das Wort des Jahres 2009. So oft wie dieses Jahr wurde die Aufschieberitis mit der Paarung von „mach-deinem-krempel-Fertig-Listenquatsch“ wie niemals zuvor durch das Netz der Netze gehetzt. GTD und Konsorten mögen eine nette Sache sein, nur kommt es mir langsam vor, als hätte Moleskin diesen ganzen Spaß aus Werbemaßnahmen hervorgerufen. So weit, so Gut, für meine Seite habe ich meinen Weg gefunden.

The Definitive Guide to htaccess Techniques: Do’s and Don’ts
.htaccess, für viele ein Buch mit sieben Siegeln, aber meiner Meinung nach, nicht wirklich schwer und immer für einen Hack Gut. Ich denke ein kleiner Einstieg mit ein paar Hints.

Chinese Firm Writes First SMS Worm
Und das ist erst der Beginn des Endes. IMO, Telefon schlicht einfach ist perfekt, max noch einen MP3/OGG-Player und eine Kamera für Unfälle. Mehr nicht. Aber wer auf die Idee kam den netten Telefonen ein komplettes OS zu bescheren hatte einen massiven Hau. Wer braucht denn wirklich aufgrund von nichtvergnügen die ganzen PIMeleien? sind wir doch mal ehrlich, es ist nichts anderes als Gizmospielerei mit netten Features.

Nagios: Monitor Cisco Routers Course
Oben das Buch, hier nun der freie Kurs. Ich kann nicht stark genug betonen, wie wichtig Nagios in einem Netzwerk ist.

10 Essential UNIX/Linux Command Cheat Sheets
Du musst Wissen… Genau!
Meiner Empfehlung nach ist http://cb.vu/unixtoolbox.xhtml wirklich sehr Gut.
Hier werden nämlich sehr positiv die Befehle untereinander verglichen (FreeBSD/Linux/Solaris.. wo ist AIX?) und für Umsteiger ist das ganze somit perfekt. Zwar wird nicht wirklich auf die Unterschiede der Shells (sh,ksh,tcsh,bash) eingegangen, aber genau für dieses Thema habe ich ein sehr gutes Buch. Es kann auch nicht alles bis in das kleinste Detail erkörtert werden. Somit, IMO gut gemacht.

Xplico – Network Forensic Analysis Tool
The goal of Xplico is extract from an internet traffic capture the applications data contained. For example, from a pcap file Xplico extracts each email (POP, IMAP, and SMTP protocols), all HTTP contents, each VoIP call (SIP), FTP, TFTP, and so on. Xplico isn’t a network protocol analyzer. Xplico is an open source Network Forensic Analysis Tool (NFAT). Xplico is released under the GNU General Public License (see License for more details).
Das lasse ich doch einfach mal so stehen und werde dafür keine An/Einleitung machen. Wer es nutzen möchte, muss sich schon selbst damit auseinandersetzen. Happy Penetration wünsche ich.

Wer nun den Unterschied zu den älteren News findet…